Criptografía como medio para tratar las fugas de datos.
La criptografía como medio de protección de la información se conoce desde la antigüedad. Los modernos sistemas de seguridad integrados también utilizan activamente las herramientas criptográficas y los métodos de protección de la información. En este artículo, el autor considerará los problemas aplicados exclusivamente (prácticos) del uso de la criptografía para protegerse contra las filtraciones de información, abstrayéndose de modelos matemáticos complejos que el lector puede leer en cualquier libro de texto de criptografía.
Maneras comunes para contrarrestar las fugas
A partir de la definición, se puede ver que la fuga de información es posible tanto como resultado del acceso a la misma desde el exterior, como a consecuencia de las acciones de la información privilegiada. También se debe tener en cuenta que la fuga de información puede ser el resultado de acciones intencionales y no intencionales.
Para protegerse contra las fugas de información, como regla general, se utiliza un sistema de medidas, que incluye:
- Medidas organizativas y legales: preparación de diversos documentos (pedidos, reglamentos, instrucciones) que describen los procesos comerciales de protección contra la fuga de información.
- medidas técnicas y de software: instalación y configuración de herramientas de protección de la información que implementan directamente la protección contra las fugas de información;
- medidas morales y éticas: capacitar y trabajar con el personal, familiarizar a los empleados con los documentos internos de la empresa relacionados con la protección de la información y mantener el nivel necesario de lealtad de los empleados.
De las medidas técnicas, las más populares hoy en día en términos de protección contra fugas de información son los sistemas de clase DLP (Data Leak Prevention), cuyo nombre se traduce literalmente como sistemas de prevención de fuga de información. Sin embargo, el rango de aplicación de los sistemas DLP está limitado solo al evitar las fugas de información de los usuarios de los sistemas de información, los empleados de la organización. No pueden garantizar, por ejemplo, la protección de la información cuando se transfiere fuera de la zona controlada (al intercambiar mensajes electrónicos o al transportar un portador de información tangible), y no restringen a los usuarios de organizaciones externas que tienen acceso al sistema de información con respecto a la posibilidad de conocerlos. matrices de información.
Aspectos prácticos de la criptografía para contrarrestar las filtraciones de información.
Junto con el desarrollo acelerado de la tecnología de la información, la necesidad de intercambio de información mediante el uso de la información y las redes de telecomunicaciones también está creciendo. Prácticamente todas las organizaciones cambian a la circulación de documentos electrónicos, incluidas las externas, donde se utilizan las firmas electrónicas para garantizar la integridad y la prueba de autoría de los documentos basados en algoritmos de transformación criptográfica, así como los canales de comunicación cifrados para garantizar la protección de terceros. Su transmisión.
Para proteger la información durante la transmisión a través de canales de comunicación, hay una gran cantidad de hardware y software (por ejemplo, ViPNet, APKS Continent, S-Terra, etc.). Además, casi todos los sistemas operativos modernos, incluidos los móviles, contienen aplicaciones integradas que permiten la transformación criptográfica de la información durante su transmisión.
Sobre la base de la práctica del autor, se puede decir que la creación de redes seguras (VPN 2 ) utilizando algoritmos de cifrado se practica en todas partes, y en las actividades de las organizaciones, en el intercambio de datos personales, secretos comerciales y otra información de acceso limitado, y personas para garantizar la privacidad de las comunicaciones. .
Otro campo de aplicación de las herramientas de seguridad de información criptográfica es la protección contra el acceso no autorizado y la distribución de información almacenada en repositorios locales (bases de datos) o en medios tangibles. El objetivo principal de la transformación criptográfica de dicha información es proteger contra el conocimiento de los infractores externos e internos.
Para evitar fugas de datos de la base de datos, se utiliza la protección criptográfica de la información, que encripta las tablas de la base de datos y la autenticación de usuario de dos factores mediante el uso de claves criptográficas (por ejemplo, el producto CryptoBD). Para usuarios no autorizados, los datos protegidos se enmascaran (se representan como caracteres arbitrarios), y las acciones de todos los usuarios autorizados se personalizan y se registran, lo que permite realizar auditorías e investigar incidentes de seguridad. Además, los usuarios autorizados también pueden descifrar solo el segmento destinado a ellos que está almacenado en la base de datos. En otras palabras, un usuario de un sistema de información puede recibir y descifrar solo la capa de información a la que se le ha otorgado acceso autorizado.
El uso de la tecnología descrita permite, en particular, proteger contra las fugas de información en los sistemas de información distribuidos, a los que las organizaciones de terceros (contrapartes) han autorizado el acceso (legal) en términos de «sus» segmentos. Por ejemplo, la contabilidad personalizada en el campo del seguro de salud obligatorio 3 .
Otra aplicación de la tecnología de cifrado de bases de datos son los servicios en la nube y los sistemas «híbridos».
Para proteger la información de acceso restringido en sistemas que brindan servicios en la nube que operan en infraestructura como un servicio (IaaS), por ejemplo, las bases de datos de alojamiento, utilizando métodos de protección criptográfica son similares a los descritos en el ejemplo anterior.
El uso de técnicas criptográficas en sistemas híbridos es algo diferente.
Los sistemas híbridos tienen una estructura fragmentaria cuando una parte de un sistema o servicio (cierta funcionalidad) se implementa en una plataforma en la nube (por ejemplo, Microsoft Azure), y la otra parte está ubicada en un segmento seguro de una empresa. Al mismo tiempo, la información de acceso restringido (por ejemplo, datos personales, secreto comercial) no se transmite a la nube, sino que se procesa en el área controlada de la organización, en su sistema de información. Hasta que los datos se transmiten a través de canales de comunicación, se lleva a cabo el proceso de cifrado de la información en un servidor proxy de cifrado.
«Cifrado proxy», es decir, Un servidor proxy que realiza la conversión de información criptográfica está diseñado para proteger la información en aplicaciones implementadas en la nube y utilizando el modelo de software como servicio (SaaS). Tales aplicaciones se caracterizan por las siguientes características:
- Estructura desconocida y método de almacenamiento de información;
- El control total sobre la información almacenada tiene una compañía que proporciona el servicio SaaS;
- La interfaz de usuario está formada por un navegador de internet.
Las funciones especificadas del servidor proxy en la red local del cliente del servicio en la nube y «sobre la marcha» encriptan (descifran) los datos enviados (recibidos) por el navegador del usuario. Para las operaciones de transformación criptográfica, gestión de claves de cifrado y acceso compartido, se utiliza el software instalado en la red local SaaS del usuario.
Por lo tanto, la gestión de la información de acceso limitado, las claves y otra información crítica se lleva a cabo dentro del perímetro controlado por la organización. Los datos pre-encriptados se transfieren al almacenamiento y procesamiento de la nube, el propietario del servicio en la nube no tiene acceso a las claves de encriptación, los datos también se transmiten en forma encriptada a través de canales de comunicación fuera de la zona controlada. Este enfoque, en particular, nos permite garantizar que los datos personales puedan procesarse en la nube de acuerdo con los requisitos de la legislación vigente.
Matices legales del uso de herramientas de protección de información criptográfica.
Por lo tanto, para proteger la información que es un secreto comercial, puede utilizar cualquier algoritmo criptográfico, cuya fuerza criptográfica (de hecho, el tiempo requerido para descifrar / descifrar la información) depende principalmente de la longitud de la clave (cuanto más larga es la clave, más tiempo lleva descifrar) y también en las características del algoritmo criptográfico (presencia de vulnerabilidades conocidas en él).
Para proteger los datos personales, solo se permite legalmente el uso de herramientas criptográficas certificadas que utilizan algoritmos de encriptación.
Resumamos
La fuga de información es la distribución incontrolada de información protegida como resultado de su transmisión (divulgación) o acceso no autorizado a ella. Para protegerse contra las fugas de información, existen diferentes medios y métodos. Una de las más eficaces es la criptografía. En la práctica, de acuerdo con el autor, es recomendable utilizar protección contra las fugas utilizando herramientas criptográficas en los siguientes casos:
- Transmisión de información a través de canales de comunicación;
- Almacenamiento de información en bases de datos y repositorios locales;
- Seguridad de la información en servicios en la nube.